標的型攻撃メールの傾向と見分け方
~サイバーレスキュー隊(J-CRAT)の活動を通して~
独立行政法人 情報処理推進機構(IPA)
技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー
2016/ 05
1. 標的型サイバー攻撃への取り組み
2. 標的型攻撃メールの見分け方
3. 添付ファイルの見分け方
1. 標的型サイバー攻撃への取り組み
2. 標的型攻撃メールの見分け方
3. 添付ファイルの見分け方
1.1 標的型サイバー攻撃に対する取り組み
「サイバーセキュリティと経済 研究会」(経産省) 2010/12~
での検討政策を受けて展開
Stuxnet
Op. Aurora RSA重工
被害
発覚
Titan Rain国内の政府機関への
標的型メールの観測
2003
~
2005
~
2009
2010
2011
2012
2013
「脅威と対策
研究会」
2014
●2010/12
METI 「サイバーセキュリティと経済研究会」
「標的型サイバー
攻撃特別相談窓口」
2011/8
設計Guide v1
2013/8
設計Guide v3
「情報共有
J-CSIP」
2011/10
2012/4
2010/12
サイバー
レスキュー隊
J-CRAT」
5業界の情報共有体制
標的型攻撃が深刻な脅威に
▼分析レポート ▼分析レポート
レスキュー試行
*1)http://www.ipa.go.jp/about/press/20130829.html *2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm*1)
*2)
*3)
システム設計
早期対応
情報共有
▲分析レポート
Lurid/Nitro政府機関への攻撃
Luckycat APT1 APT12 Op.Hydra Op.DeputyDog APT17 CVE-2012-0158 PittyTiger2014/9
設計Guide v4
やりとり型、取材・講 演依頼、医療費通知、 Xmas、謹賀新年・・・ 組織間メールを窃 取、ウイルス添付 Poison Ivy PlugX Emdivi標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。(APT)
攻撃や被害の把握
、
対策の早期着手
のため、
情報収集と、組織の支援を行っています
。
1.2 サイバーレスキュー隊(J-CRAT)
~活動概要 Since 2014~
公的機関
業界団体、
社団・財団
重要産業
関連企業
重要産業
取引先
情報発信
情報提供
支援相談
Web検索
サイト巡回
標的型サイバー攻撃
特別相談窓口
公開情報の
分析・収集
公開情報
ケース1
ケース2
ケース3
サイバーレスキュー隊 (
J-CRAT
)
サイバーレスキュー活動
支援内容
解析
攻撃・被害
の可視化
情報収集
JPCERT/CC
情報提供
着手アプローチ
エスカレーション
エスカレーション
ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談
ケース2: 受付した相談から、連鎖的な被害(の可能性のある)組織が推定された場合
攻撃・被害
の把握
助言
レスキュー支援
J-CSIP
独法連絡会
技術連携
1.2 J-CRAT活動実績
2014年度
2015年度
4月~9月
10月~3月
計
4月~9月
相談件数
41
66
107
246
レスキュー支援数
17
21
38
104
オンサイト
6
5
11
31
■相談件数、支援件数
(2014/4~2015/9)
1.2 J-CRAT活動実績
■メール種別割合
(2014/4~2015/3)
■Fromメールアドレス割合
(2014/4~2015/3)
添付
(圧縮)
364件(60%)
添付
(非圧縮)
168件(27%)
URLリンク
36件(6%)
添付・
URLリンクなし
19件(3%)
不明
22件(4%)
N=609
フリーメール
157件(48%)
企業
112件(34%)
省庁
22件
(7%)
存在しない
12件(4%)
独立行政法人
9件(3%)
5件(1%)
大学
その他
11件(3%)
N=328
1.2 J-CRAT活動実績
■ファイル圧縮形式割合
■不審ファイル種別
不審ファイル種別割合
(2014/4~2015/3)
zip
253件(69%)
rar
70件(19%)
lzh
26件(7%)
7z
13件(3%)
arj
2件(1%)
2件(1%)
gz
cab
1件(0%)
N=367
exe
228件(48%)
マイクロソフトオフィス
108件(23%)
scr
71件(15%)
28件(6%)
cpl, 13, 3%
jar, 6, 1%
jtd, 5, 1%
com, 4, 1%
lnk, 3, 1% pif, 3,
1%
rtf, 3, 1%
その他
, 8,
2%
N=480
1.3 標的型サイバー攻撃の連鎖
~標的型サイバー攻撃の連鎖(チェーン)の実態 ~
・ 標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。
組織内での、多層防御(入口、出口、内部、統括管理)だけでなく、
- 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。
- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。
国
官公庁
公的機関
業界団体
(社団、財団)
取引先企業/組織
攻撃者
①
攻撃者
③
④
凡例
① 直接攻撃
② ある組織から上流の組織への攻撃
③ ある組織から傘下の組織への攻撃
④ ある組織と関連する組織への攻撃
③
①
②
③
①
WeekPointと
して狙われる
攻撃連鎖の一例
~重要情報が無くても、攻撃インフラとして利用される~
攻撃者
③メールの窃取
②ID/Passの窃取
被害者
各自の組織メールではなく、古くから
使っているフリーメール、今使ってい
るフリーメールの情報も、攻撃者に
とっては有益な攻撃ツール素材。
①標的型攻撃メールで
ウイルスに感染
・業務メール
をついつい
個人メールへ転送
してしまう
・
業務上、
組織のネットワーク
から
外部のメール(出向・派遣元メール)
を見てしまう
・過去のメール、アドレス帳
に相手の
職務情報
が書かれている
など、
標的にされる情報は多数存在
します。
WeekPointと
して狙われた組織
④ウイルス付
詐称メール
画面表示
攻撃連鎖対応事例
~サイバーレスキュー隊活動で明らかになった事象~
組織D
攻撃者
①組織Bを騙った
攻撃を確認
②新たな攻撃先
(組織C)を確認
標的型攻撃メール分析
不審ファイル調査
通信ログ分析
共有情報作成
情報提供
情報提供・調査支援
情報提供・調査支援・対策支援
組織A
組織B
組織C
③組織Cから組織Dへ
攻撃メールが送られ
ていた事実が判明
・ 攻撃の連鎖(組織をまたがった攻撃)が行われている事を確認
・ その連鎖を追跡することで、他組織の被害を掘り出すことができた
攻撃
遠隔操作
画面表示
標的型サイバー攻撃の連鎖
~攻撃中継の実例 ~
・感染後長期潜伏され、攻撃素材が現れるのを待ち、巧妙な手口に活用される事例がありました。
①標的型攻撃メール
による感染
攻撃者
小規模組織
Bさん
Aさん
大規模組織
②Aさんになりす
ましたメール
③Bさんになりす
ましたメール
情報
窃取
情報
窃取
攻撃間隔は
約半年
攻撃潜伏期
間が3年に及ぶものもあり
攻撃パターン
~代表的な攻撃方法~
標的型攻撃メールは、不審な添付ファイルやURLリンクを攻撃対象に送りつけ、それを
実行させるために差出人や文面を偽装(転用)したり、ファイルの見た目を加工したりし
ます。
攻撃者
①不審ファイル付き標的型攻撃メール
②不審 URLリンク付き 標的型攻撃メール
実行ファイル
・アイコン偽装
・拡張子偽装(RLO)
オフィス文章
・ウイルス埋め込み
・マクロ埋め込み
・ドメイン偽装
・表示と異なるリンク
・パスワード付圧縮ファイル
・そのまま添付
このまま、RAT(遠隔操作ウイルス)として動くものも、
次段として遠隔操作ウイルスを取りにいくものもある。
このほかに、次のような攻撃手法も使われます。
・特定のWeb閲覧者だけを狙う
水のみ場攻撃
画面表示
攻撃連鎖の一例
~一旦穴が開けば、遠隔から操作できてしまう~
攻撃者
被害者
③送付
標的型攻撃メールに添付された不審なファイル、不審なURLを開いた結果落ちてくる
ファイルを実行し
感染
してしまうと、
即座(数分~数十分)に攻撃者は活動
し始めます。
そして、少し間をおいて、より
深い活動
に移行するケースが多くあります。
①初段ウイルス作成
②メール作成準備
・宛先
・文面
④感染
⑤C2サーバ通信
(次段ウイルスを持ってくることもある)
⑥情報収集
・メールデータ
・PCログインID/Pass
・ファイルサーバデータ圧縮/窃取
・AD管理者権限
⑤横展開
⑥C2サーバ通信
(別のC2のこともある)
このタイミングで攻撃を阻止
できるよう、情報共有が必要
となってきます。
このタイミングで攻撃を予見できるよう、各
セキュリティベンダの発表情報や、既存の
C2サーバ観測、テスト用ウイルスの発見な
ど公開情報検索を評価実施しはじめました。
画面表示
システムA
システムB
アンチウイルス
管理サーバ
ADサーバ
ファイルサーバ
IT資産管理
海外WAN
国内WAN
インターネット
メール
Web
クラウド
独自
インターネット
VPN
端末
海外現地
メール
Web
①最初の感染
②AD感染、認証情報漏洩
ファイルサーバデータ漏洩
攻撃ツール発見
④他端末感染(RAT)
⑤想定外のインター
ネット接続
⑥VPN経由での侵入
⑦WebShell経
由での侵入
⑧Webメール不
正利用
⑨国内IT部門が関
知しない海外シス
テムでの同様の被
害
⑩想定外のイン
ターネット接続
③攻撃ツール
発見
標的型サイバー攻撃の痕跡
~全体像 ~
デモンストレーション
~標的型攻撃メールの添付を開いたら~
標的型攻撃メールの傾向と事例分析<2013年>
~ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口~
http://www.ipa.go.jp/security/technicalwatch/20140130.html
デモでは、レジストリを表示して確認
していますが、レジストリを誤って操
作する可能性がありますのでご注意く
ださい。
また、かならずこの確認方法でチェッ
クできるとは限りません。
詳細は、2013年のテクニカルウオッ
チをご覧ください。
独立行政法人 情報処理推進機構(IPA)
標的型サイバー攻撃特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/
直近の攻撃全体関連図
メール送信
ホスト メールリレー
メール受信者
直近の攻撃全体関連図
A国送信元
A
メール送信 ホスト メールリレー メール受信者 メール送信者(詐称含む) プロバイダA 受信組織A ホスト名A ①2015/12 ①2015/12 通信先A 通信先 @AAAA.jp ①直近の攻撃全体関連図
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 受信組織A ホスト名B ホスト名A ①2015/12 ②2015/12 ①2015/12 ②2015/12 通信先A 通信先B 通信先 @AAAA.jp @BBBB.jp ① ② メール送信者(詐称含む)直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 受信組織A ホスト名B ホスト名A ①2015/12 ②2015/12 ①2015/12 ②2015/12 ③2015/12 通信先A 通信先B 通信先C 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ① ② ③ メール送信者(詐称含む)直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 受信組織A ホスト名B ホスト名A ①2015/12 ②2015/12 ④2015/12 ①2015/12 ②2015/12 ③2015/12 ④2015/12 受信組織群C 通信先A 通信先B 通信先C 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ① ② ③ ④ メール送信者(詐称含む)直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 受信組織A ホスト名B ホスト名A ホスト名C @CCCC.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ① ② ③ ④ メール送信者(詐称含む)直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ 受信組織A ホスト名B ホスト名A ホスト名C @CCCC.jp @DDDD.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ メール送信者(詐称含む)⑦
直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ プロバイダD 受信組織A ホスト名B ホスト名A ホスト名C ホスト名D @CCCC.jp @DDDD.jp @EEEE.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑦2016/1 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ メール送信者(詐称含む)直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ プロバイダD 受信組織A 受信組織F ホスト名B ホスト名A ホスト名C ホスト名D プロバイダE ホスト名E @CCCC.jp @DDDD.jp @EEEE.jp @FFFF.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑧2016/1 ⑦2016/1 ⑧b2016/1 ⑧c2016/1 ①2015/12 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群E 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ ⑧a ⑧b ⑧c ⑦ ⑧a2016/1 メール送信者(詐称含む)直近の攻撃全体関連図
B国送信元B
A国送信元
A
メール送信 ホスト メールリレー メール受信者 プロバイダA 企業B 企業C 複数プロバイダ プロバイダD 受信組織A 受信組織F ホスト名B ホスト名A ホスト名C ホスト名D プロバイダE ホスト名E @CCCC.jp @DDDD.jp @EEEE.jp @FFFF.jp ①2015/12 ②2015/12 ⑤2015/12 ④2015/12 ⑥2016/1 ⑦2016/1 ⑧2016/1 ⑦2016/1 ⑧b2016/1 ⑧c2016/1 ①2015/12 ⑧a2016/1 ②2015/12 ③2015/12 ④2015/12 ⑤2015/12 受信組織群D 受信組織群E 受信組織群C 通信先A 通信先B 通信先C 通信先D 通信先E 通信先 受信組織B @AAAA.jp @BBBB.jp ③2015/12 ⑤ ⑥2016/1 ① ② ③ ④ ⑥ ⑧a ⑧b ⑧c ⑦ プロバイダF ホスト名F @GGGG.jp ,⑨2016/1 ⑨a2016/1 ⑨b2016/1 通信先F ⑨a ⑨b メール送信者(詐称含む)直近の攻撃全体関連図
過去に
Emdiviの標的となった
アドレスや組織は
1. 標的型サイバー攻撃への取り組み
2. 標的型攻撃メールの見分け方
3. 添付ファイルの見分け方
2.1 標的型攻撃メールの例と見分け方
~テクニカルウオッチ~
情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てて
いただいています。
2.2 標的型サイバー攻撃分析レポート
~その他のテクニカルウオッチ~
2.3 標的型攻撃メールの例と見分け方
主な初出の出来事
2005
初観測(実在の外務省職員を詐称、Word文書、複数の官公庁宛)
2006
新聞社を詐称、民間大手企業宛、一太郎文書、実行形式ファイル
2007
未修正の脆弱性を悪用(ゼロデイ)、PDF文書
2008
標的型攻撃メールに関する組織内注意喚起メールを加工
2009
新型インフルエンザ関連情報に偽装、添付ファイルのないメール
2010
[海外]Stuxnetによるイランの核施設攻撃
2011
東日本大震災・原発事故関連情報に偽装、やりとり型、Mac OS X
2012
[海外]水飲み場攻撃
2013
lnk(ショートカット)ファイル
2014
現在は、フリーメールアドレス利用・添付ファイル型が主流
2.3 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/security/technicalwatch/20150109.html着眼点
これまで検知された標的型攻撃メールの特徴
(ア)
テーマ
①知らない人からのメールだが、開封せざるを得ない内容
例1: 新聞社・出版社からの取材申込・講演依頼
例2: 就職活動に関する問合せ・履歴書の送付
例3: 製品やサービスに対する問い合わせ・クレーム
例4: アンケート調査
例5: やり取り型メール
②誤って自分宛に送られたメールの様だが、興味をそそられる内容
例1: 議事録・演説原稿などの内部文書送付
例2: VIP訪問に関する情報
③これまで届いたことがない、公的機関からのお知らせ
例1: 情報セキュリティに関する注意喚起
例2: インフルエンザ流行情報
例3: 災害情報
2.4 標的型攻撃メールの例と見分け方
着眼点
これまで検知された標的型攻撃メールの特徴
(イ)
送信者
①フリーメールアドレスからの送信
②送信者のメールアドレスが署名(シグネチャ)と異なる
(ウ)
メール本文
①言い回しが不自然な日本語
②日本語では使用されない漢字(繁体字、簡体字)
③正式名称を一部に含むような不審URL
④HTMLメールで、表示と実際のURLが異なるリンク
⑤署名の記載内容がおかしい、該当部門が存在しない
2.5 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/security/technicalwatch/20150109.html
事務連絡cod.scr
事務連絡rcs.doc
RLO: Right-to-Left Override
アラビア語やヘブライ語などをパソコンで使
うための特殊な文字(表示はされない)
ここにRLO文字を挿入する
と、次のような見た目になる。
着眼点
これまで検知された標的型攻撃メールの特徴
(エ)
添付ファイル
①添付ファイルがある
②実行形式ファイル(exe / scr / jar / cpl など)
③ショートカットファイル(lnk / pif / url)
④実行形式ファイルなのに文書ファイルやフォルダのアイコン
⑤ファイル名が不審
例1: 二重拡張子
例2: ファイル拡張子の前に大量の空白文字を挿入
例3: 文字列を左右反転する
RLO
コードの利用
例4:
エクスプローラで圧縮ファイルの内容を表示すると
ファイル名が文字化け
実際の標的型攻撃メールの例
【ア-①】 【イ-①】 【エ-①】 【ウ-①】
2.6 標的型攻撃メールの例と見分け方
~取材依頼を装った標的型~
実際の標的型攻撃メールの例
~取材依頼を装った標的型~
2013年夏に多くみかけま
した。
ZIPファイルの中身はLNK
(ショートカット)ファイルで、
オフィス文章のアイコンで
偽装が目立ちました。
実際はリンク先を参照す
るのではなく、スクリプトが
書かれていて、実行すると
次段ウイルスをダウンロー
ドし自動実行します。
次段ウイルスはPlugXなど、
国内の標的型サイバー攻
撃で多用されるRAT(遠
隔操作ウイルス)が目立ち
ます。
画面表示
実際の標的型攻撃メールの例
~講演依頼を装った標的型~
特徴
○○様 と呼びかけが入る
講演の依頼を装っている
送付先に関係ありそうなテー
マ
2.7 標的型攻撃メールの例と見分け方
~就職を装った標的型~
【イ-①】 【ア-①】 【エ-①】 【イ-②】実際の標的型攻撃メールの例
~就職を装った標的型~
熱い思い
を語っている
国内で、ある程度拡散し
た標的型攻撃メールで、
0day攻撃が使われた事
例でした。
→IPAより注意
喚起実施。
狙われた脆弱性
MS Office等
CVE-2013-3906
画面表示
2.8 標的型攻撃メールの例と見分け方
~製品・サービスに関する問合せを装った標的型~
【イ-①】
【ア-①】